Исследование

Кейген с секретом-2

13 января мой коллега Вячеслав Закоржевский опубликовал блогпост об опасностях, связанных с использованием взломанных программ и генераторов ключей, в котором рассказал о зловредах, предназначенных для кражи регистрационных ключей к популярным программным продуктам и паролей к онлайн-играм.

Несколько дней назад мы обнаружили новую вредоносную программу, названную ее авторами Kaspersky Trial Resetter и выдающую себя за утилиту для продления пробного периода антивирусных продуктов «Лаборатории Касперского».

Зловред детектируется нами как Trojan-PSW.MSIL.Agent.wx. В настоящий момент только два производителя антивирусного ПО, включая «Лабораторию Касперского», детектируют эту программу.
В данном случае фокус в том, что вместо обещанного продления пробного периода троянец крадет информацию, хранящуюся на вашем компьютере – пароли, сохраненные браузером и другими приложениями.

Если верить заголовку PE-файла, эта вредоносная программа была создана 31 января 2011 года. При этом первые сообщения о заражении появились 6 февраля.

Насколько успешным может быть такой зловред? Судите сами:


Количество заражений в день

За 23 дня троянцем, крадущим пароли, в общей сложности были заражены 1109 компьютеров, что составляет в среднем 48 заражений в день.

В пятерку стран-лидеров по количеству заражений вошли:

А что можно сказать о типе украденных аккаунтов?

Среди украденных этой вредоносной программой данных – сотни паролей к аккаунтам на сайтах хостинг-провайдеров, интернет-магазинов, интернет- и мобильных провайдеров, социальных сетей (LinkedIn, Twitter, Facebook, MySpace etc.), а также к системам электронной почты, блогам, банковским сервисам, сервисам мгновенного обмена сообщениями, онлайн-играм и т.д.

Ниже представлены данные о браузерах, ставших мишенью этой вредоносной программы, и о количестве пострадавших пользователей:

Специалисты «Лаборатории Касперского» связались с хостинг-провайдером, на чьих серверах была размещена вредоносная программа, который закрыл и удалил аккаунты злоумышленников. Надеюсь, что приведенная статистика убедительно свидетельствует против загрузки пиратских программ: компьютеры 1109 пользователей, которые хотели взломать защитное решение, в результате были заражены вредоносным ПО.

Кроме того, очевидно, что сохранение паролей в браузере – тоже не лучшая идея. Разумнее воспользоваться программой для управления паролями, такой как Kaspersky Password Manager, которая хранит все ваши пароли в зашифрованном виде и обеспечивает их защиту от подобных атак.

В настоящее время мы пытаемся проинформировать пострадавших пользователей о заражении их компьютеров.

Кейген с секретом-2

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике